Để một trình duyệt xác thực một trang web, nó phải xuất hiện một chuỗi chứng chỉ hợp lệ. Một chuỗi điển hình được trình bày ở trên và có thể có nhiều hơn một chứng chỉ trung gian. Số lượng chứng chỉ tối thiểu trong một chuỗi hợp lệ là ba.
Chứng chỉ gốc là trái tim của cơ quan cấp chứng chỉ. Nó thực sự được tích hợp vào hệ điều hành hoặc trình duyệt của bạn, nó hiện diện trên thiết bị của bạn. Nó không thể được thay đổi từ phía máy chủ. Cần phải cập nhật bắt buộc hệ điều hành hoặc chương trình cơ sở trên thiết bị.
Chuyên gia bảo mật Scott Helme , rằng các vấn đề chính sẽ nảy sinh với cơ quan cấp chứng chỉ Let's Encrypt, bởi vì ngày nay đây là CA phổ biến nhất trên Internet và chứng chỉ gốc của nó sẽ sớm bị hỏng. Thay đổi root Let's Encrypt .
Chứng chỉ cuối cùng và trung gian của cơ quan chứng nhận (CA) được gửi đến máy khách từ máy chủ và chứng chỉ gốc là từ máy khách đã có, vì vậy với bộ sưu tập chứng chỉ này, người ta có thể xây dựng một chuỗi và xác thực một trang web.
Vấn đề là mỗi chứng chỉ đều có ngày hết hạn, sau đó nó cần được thay thế. Ví dụ: từ ngày 1 tháng 2020 năm XNUMX, họ có kế hoạch đưa ra giới hạn về thời hạn hiệu lực của chứng chỉ TLS máy chủ trong trình duyệt Safari .
Điều này có nghĩa là tất cả chúng ta sẽ phải thay thế chứng chỉ máy chủ của mình ít nhất 12 tháng một lần. Hạn chế này chỉ áp dụng cho chứng chỉ máy chủ; nó không áp dụng cho chứng chỉ CA gốc.
Chứng chỉ CA chịu sự điều chỉnh của một bộ quy tắc khác và do đó có giới hạn hiệu lực khác nhau. Rất phổ biến khi tìm thấy chứng chỉ trung gian có thời hạn hiệu lực là 5 năm và chứng chỉ gốc có thời hạn sử dụng thậm chí là 25 năm!
Thường không có vấn đề gì với chứng chỉ trung gian, vì chúng được máy chủ cung cấp cho máy khách, máy chủ này tự thay đổi chứng chỉ của chính nó thường xuyên hơn, vì vậy nó chỉ cần thay thế chứng chỉ trung gian trong quy trình. Khá dễ dàng để thay thế nó cùng với chứng chỉ máy chủ, không giống như chứng chỉ CA gốc.
Như chúng tôi đã nói, CA gốc được tích hợp trực tiếp vào chính thiết bị khách, vào HĐH, trình duyệt hoặc phần mềm khác. Việc thay đổi CA gốc nằm ngoài tầm kiểm soát của trang web. Điều này yêu cầu một bản cập nhật trên máy khách, có thể là bản cập nhật hệ điều hành hoặc phần mềm.
Một số CA gốc đã tồn tại từ rất lâu, chúng ta đang nói đến khoảng 20-25 năm. Chẳng bao lâu nữa, một số CA gốc lâu đời nhất sẽ kết thúc vòng đời tự nhiên của chúng, thời gian của chúng sắp hết. Đối với hầu hết chúng ta, đây hoàn toàn không phải là vấn đề vì CA đã tạo chứng chỉ gốc mới và chúng đã được phân phối trên toàn thế giới trong các bản cập nhật hệ điều hành và trình duyệt trong nhiều năm. Nhưng nếu ai đó không cập nhật hệ điều hành hoặc trình duyệt của họ trong một thời gian dài thì đó sẽ là một vấn đề.
Tình trạng này xảy ra vào ngày 30 tháng 2020 năm 10 lúc 48:38:XNUMX GMT. Đây là thời điểm chính xác khi từ cơ quan chứng nhận Comodo (Sectigo).
Nó được sử dụng để ký chéo nhằm đảm bảo khả năng tương thích với các thiết bị cũ không có chứng chỉ gốc USERtrust mới trong cửa hàng của họ.
Thật không may, vấn đề nảy sinh không chỉ ở các trình duyệt cũ mà còn ở các ứng dụng khách không có trình duyệt dựa trên OpenSSL 1.0.x, LibreSSL và . Ví dụ: trong hộp giải mã tín hiệu , dịch vụ , trong các ứng dụng Fortinet, Chargeify, trên nền tảng .NET Core 2.0 cho Linux và .
Người ta cho rằng sự cố sẽ chỉ ảnh hưởng đến các hệ thống cũ (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, v.v.), vì các trình duyệt hiện đại có thể sử dụng chứng chỉ gốc USERTrust thứ hai. Nhưng trên thực tế, lỗi đã bắt đầu xảy ra ở hàng trăm dịch vụ web sử dụng thư viện OpenSSL 1.0.x và GnuTLS miễn phí. Kết nối an toàn không còn có thể được thiết lập với thông báo lỗi cho biết chứng chỉ đã lỗi thời.
Tiếp theo - Hãy mã hóa
Một ví dụ điển hình khác về thay đổi CA gốc sắp tới là cơ quan cấp chứng chỉ Let's Encrypt. Hơn họ đã lên kế hoạch chuyển từ chuỗi Identrust sang chuỗi ISRG Root của riêng họ, nhưng điều này .
Let's Encrypt cho biết trong một tuyên bố: "Do lo ngại về việc không chấp nhận root ISRG trên các thiết bị Android, chúng tôi đã quyết định chuyển ngày chuyển đổi root gốc từ ngày 8 tháng 2019 năm 8 sang ngày 2020 tháng XNUMX năm XNUMX".
Ngày đã phải hoãn lại do một vấn đề gọi là "nhân giống gốc", hay chính xác hơn là thiếu nhân giống gốc, khi CA gốc không được phân phối rộng rãi trên tất cả các máy khách.
Let's Encrypt hiện sử dụng chứng chỉ trung gian có chữ ký chéo được liên kết với IdenTrust DST Root CA X3. Chứng chỉ gốc này được cấp lại vào tháng 2000 năm 30 và hết hạn vào ngày 2021 tháng 1 năm XNUMX. Cho đến lúc đó, Let's Encrypt có kế hoạch di chuyển sang ISRG Root XXNUMX tự ký.
Gốc ISRG được phát hành vào ngày 4 tháng 2015 năm XNUMX. Sau đó, quá trình phê duyệt với tư cách là cơ quan chứng nhận bắt đầu và kết thúc . Từ thời điểm này trở đi, CA gốc có sẵn cho tất cả máy khách thông qua hệ điều hành hoặc bản cập nhật phần mềm. Tất cả những gì bạn phải làm là cài đặt bản cập nhật.
Nhưng đó là vấn đề.
Nếu điện thoại di động, TV hoặc thiết bị khác của bạn chưa được cập nhật trong hai năm, làm sao nó biết về chứng chỉ gốc ISRG Root X1 mới? Và nếu bạn không cài đặt nó trên hệ thống thì thiết bị của bạn sẽ vô hiệu hóa tất cả các chứng chỉ máy chủ Let's Encrypt ngay khi Let's Encrypt chuyển sang root mới. Và trong hệ sinh thái Android có rất nhiều thiết bị lỗi thời đã lâu không được cập nhật.
hệ sinh thái Android
Đây là lý do tại sao Let's Encrypt trì hoãn việc chuyển sang gốc ISRG của chính nó và vẫn sử dụng một phương thức trung gian đi xuống gốc IdenTrust. Nhưng quá trình chuyển đổi sẽ phải được thực hiện trong mọi trường hợp. Và ngày thay đổi gốc được chỉ định .
Để kiểm tra xem root ISRG X1 đã được cài đặt trên thiết bị của bạn chưa (TV, hộp giải mã tín hiệu số hoặc ứng dụng khách khác), hãy mở trang web kiểm tra . Nếu không có cảnh báo bảo mật nào xuất hiện thì mọi thứ thường ổn.
Let's Encrypt không phải là người duy nhất phải đối mặt với thách thức chuyển sang root mới. Mật mã trên Internet bắt đầu được sử dụng cách đây hơn 20 năm, vì vậy hiện nay là thời điểm mà nhiều chứng chỉ gốc sắp hết hạn.
Chủ sở hữu TV thông minh chưa cập nhật phần mềm Smart TV trong nhiều năm có thể gặp phải sự cố này. Ví dụ: root GlobalSign mới được phát hành vào năm 2012 và sau đó một số Smart TV cũ không thể xây dựng chuỗi liên kết với nó, vì đơn giản là chúng không có CA gốc này. Đặc biệt, những khách hàng này không thể thiết lập kết nối an toàn với trang web bbc.co.uk. Để giải quyết vấn đề, các quản trị viên BBC đã phải dùng đến một thủ thuật: họ thông qua các chứng chỉ trung gian bổ sung, sử dụng gốc cũ и , vẫn chưa bị thối rữa.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Trung cấp) GlobalSign Root CA - R5 (Trung cấp) GlobalSign Root CA - R3 (Trung cấp)
Đây là một giải pháp tạm thời. Vấn đề sẽ không biến mất trừ khi bạn cập nhật phần mềm máy khách. TV thông minh về cơ bản là một máy tính có chức năng hạn chế chạy Linux. Và nếu không có bản cập nhật, chứng chỉ gốc của nó chắc chắn sẽ bị hỏng.
Điều này áp dụng cho tất cả các thiết bị, không chỉ TV. Nếu bạn có bất kỳ thiết bị nào được kết nối với Internet và được quảng cáo là thiết bị “thông minh”, thì vấn đề về chứng chỉ sai gần như chắc chắn liên quan đến thiết bị đó. Nếu thiết bị không được cập nhật, kho lưu trữ CA gốc sẽ trở nên lỗi thời theo thời gian và cuối cùng vấn đề sẽ xuất hiện. Sự cố xảy ra sớm hay muộn tùy thuộc vào thời điểm kho lưu trữ gốc được cập nhật lần cuối. Thời gian này có thể là vài năm trước ngày phát hành thực tế của thiết bị.
Nhân tiện, đây là vấn đề tại sao một số nền tảng truyền thông lớn không thể sử dụng các cơ quan cấp chứng chỉ tự động hiện đại như Let's Encrypt, Scott Helme viết. Chúng không phù hợp với TV thông minh và số lượng gốc quá nhỏ để đảm bảo hỗ trợ chứng chỉ trên các thiết bị cũ. Nếu không, TV sẽ không thể khởi chạy các dịch vụ phát trực tuyến hiện đại.
Sự cố mới nhất với AddTrust cho thấy ngay cả các công ty CNTT lớn cũng không chuẩn bị cho việc chứng chỉ gốc hết hạn.
Chỉ có một giải pháp cho vấn đề - cập nhật. Các nhà phát triển thiết bị thông minh phải cung cấp trước cơ chế cập nhật phần mềm và chứng chỉ gốc. Mặt khác, việc nhà sản xuất đảm bảo hoạt động của thiết bị sau khi hết thời gian bảo hành sẽ không mang lại lợi nhuận.
Nguồn: www.habr.com